Iptables 是标准的 Linux防火墙应用程序，在没有硬件防火墙的情况下，使用iptables也是一种简单经济的解决方案。本例中如何通过使用iptables限制客户端访问ftp和ssh端口

<pre>
service iptables start
service iptables stop
service iptables save
service iptables restart
service iptables reload
service iptables status
chkconfig --list iptables
</pre>

备注：调整防火墙随时可能导致不能从远端连接到服务器，所以一定要小心，比较可行的方法是在调试阶段设置一个crontab任务，每隔一段时间关闭防火墙。及时网络不通了，一段时间后又恢复了.

规则管理命令

<pre>
-A：追加，在当前链的最后新增一个规则
-I num : 插入，把当前规则插入为第几条。
-I 3 :插入为第三条
-R num：Replays替换/修改第几条规则
格式：iptables -R 3 …………
-D num：删除，明确指定删除第几条规则
</pre>

查看管理命令 “-L”

<pre>
附加子命令
-n：以数字的方式显示ip，它会将ip直接显示出来，如果不加-n，则会将ip反向解析成主机名。
-v：显示详细信息
-vv
-vvv :越多越详细
-x：在计数器上显示精确值，不做单位换算
--line-numbers : 显示规则的行号
-t nat：显示所有的关卡的信息
</pre>

查看当前的防火墙设置
iptables -L INPUT -n --line-numbers ，通过命令iptables -L也可以查看，本例开通了

<pre>
[root@log1 ~]# iptables -L INPUT -n --line-numbers
Chain INPUT (policy ACCEPT)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21
5 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
6 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
</pre>

删除一条策略，例如第4行策略

iptables -D INPUT 4

设置策略为drop，默认是accept

<pre>
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
</pre>

本质上iptables的配置是报错在相关配置文件中

<pre>
[root@log1 ~]# cat /etc/sysconfig/iptables

Generated by iptables-save v1.4.7 on Thu Nov 21 09:36:20 2013

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 192.168.9.0/24 -p tcp -m tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.9.0/24 -p tcp -m tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
</pre>

简单应用的小例子

开通ssh
<pre>
iptables -A INPUT -p tcp -s 192.168.9.0/24 --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
</pre>

开通ftp端口
--备注，未支持ftp，由于ftp特殊的联系方法，需要设置特殊的端口和开启相关的服务

<pre>
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp

Allow Passive FTP Connections

iptables -A INPUT -p tcp -s 192.168.9.0/24 --dport 1024 -m state --state NEW,ESTABLISHED -j ACCEPT

Allow Active FTP Connections

iptables -A INPUT -p tcp -s 192.168.9.0/24 --dport 20 -m state --state NEW,ESTABLISHED -j ACCEPT

Allow FTP connections @ port 21

iptables -A INPUT -p tcp -s 192.168.9.0/24 --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -p tcp --sport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
</pre>

修改配置

vim /etc/sysconfig/iptables
然后进去修改即可，修改完了怎么办？这里很多人会想到/etc/rc.d/init.d/iptables save指令，但是一旦你这么干了你刚才的修改内容就白做了!

具体方法是：

只修改/etc/sysconfig/iptables 使其生效的办法是修改好后先service iptables restart，然后才调用/etc/rc.d/init.d/iptables save，
因为/etc/rc.d/init.d/iptables save会在iptables服务启动时重新加载，要是在重启之前直接先调用了/etc/rc.d/init.d/iptables save那么你的/etc/sysconfig/iptables 配置就回滚到上次启动服务的配置了，这点必须注意！！！

部分转载自：http://blog.csdn.net/hijk139/article/details/16966601
部分转载自：http://blog.csdn.net/guochunyang/article/details/49865441
部分转载自：http://blog.chinaunix.net/uid-26495963-id-3279216.html